|
nichts scheint derzeit sicher zu sein, besonders nicht IT-Systeme. Daher steht diese Ausgabe ganz im Zeichen der Sicherheit: Cybersicherheit, sichere IVD, unsichere Zeitpläne, vielleicht sichere Regulierungen und die schöne Gewissheit, auf der sicheren Seite zu sein.
Krankheitsbedingt diese Woche ausnahmsweise nicht von Professor Johner selbst geschrieben, sondern von der Redaktion.
Neues zu (rechts-)sicherer Software
Sichere DiGAs mit Pentests
Wie wichtig sichere Software ist, beweisen die eklatanten Schwachstellen in manchen digitalen Gesundheitsanwendungen (DiGAs), über die wir bereits im letzten Journal berichtet hatten. Aufdecken lassen sich solche Schwachstellen mit Penetrationstests (Pentests), bei denen Systeme auf Sicherheitslücken geprüft werden.
Die Relevanz der Tests haben die Expert:innen des Johner Instituts jüngst wieder bewiesen. Sie untersuchten im Auftrag der Hersteller Systeme und konnten beispielsweise über „Privilege Escalation“ Vollzugriff auf alle Daten erlangen. Damit hat unser Security-Team geholfen, den GAU zu vermeiden.
Pentests sollten daher bei allen DiGAs dazugehören. Das sieht übrigens auch der Gesetzgeber so: sie sind nach der DiGAV vorgeschrieben.
Pentests für Ihre DiGA oder sonstige IT-Systeme führen die Expert:innen des Johner Instituts gern für Sie durch.
IMDRF-Entwurf zu SBOM
Ein weiterer wichtiger Baustein für sichere IT-Systeme sind SBOMs (Software Bill of Materials). SBOMs listen Komponenten und andere relevante Informationen über die Bestandteile von Software auf, wodurch sie u. a. das Identifizieren und Beseitigen von Schwachstellen erleichtern.
Wie relevant SBOMs für die IT-Sicherheit sind, hat bereits die FDA in ihrem Premarket-Guidance-Dokument betont. Nun greift auch das IMDRF das Thema auf. Principles and Practices for Software Bill of Materials for Medical Device Cybersecurity heißt der Entwurf eines neuen Dokuments. Dieses enthält u. a. Empfehlungen zur Erzeugung, Verwaltung und Verteilung von SBOMs sowie Nutzungsfälle.
Das IMDRF nimmt Feedback zum Entwurf noch bis zum 30. August 2022 entgegen.
Podcast mit Tipps zur Softwareentwicklung
Worauf Sie neben dem Erstellen von SBOMs und dem Durchführen von Pentests bei der Entwicklung medizinischer Software achten sollten, bespricht IT-Experte Daniel Reinsch im aktuellen Podcast.
Es geht darum, wie man den Entwicklungsprozess möglichst effizient und die Software rechtssicher gestaltet. Ich kann die Folge allen Entwicklerinnen und Entwicklern wärmstens empfehlen.
Neues von der EU
Common Specifications für Klasse-D-IVD
Um Sicherheit geht es auch beim Thema IVD: Die EU ist hier weiterhin aktiv und setzt ihre Serie mit einer Veröffentlichung von Common Specifications für IVD-Produkte der höchsten Risikoklasse D fort. Diese sind von den Common Technical Specifications unter der IVD-Richtlinie abgeleitet.
Es geht konkret um Krankheitserreger, die eine lebensbedrohliche Krankheit auslösen können und ein hohes Verbreitungsrisiko bergen bzw. für die Blutgruppenbestimmung für die Transfusion und Transplantation bestimmt sind. Bislang gab es hierzu keine harmonisierten Standards, womit die aktuelle Veröffentlichung diese Lücke schließt.
EUDAMED um weiteres Jahr verschoben
Bei der EUDAMED-Datenbank ist scheinbar noch viel unsicher. Kürzlich hat die EU auf ihren Webseiten einen neuen Zeitplan veröffentlicht. Was der offenbart? Der Zeitplan von EUDAMED ist um ein weiteres Jahr verschoben! Die volle Funktionsfähigkeit ist nun scheinbar erst für 2024 vorgesehen.
Neues aus UK
Großbritannien arbeitet an einem eigenen sicheren regulatorischen System für Medizinprodukte nach dem Brexit. Die Zulassungsbehörde MHRA hat Ende Juni ihre lang erwartete Antwort zur Umfrage zur zukünftigen UK-Medizinprodukte-Regulierung veröffentlicht. Die Antwort berücksichtigt das Feedback von fast 900 Befragten, darunter Industrie, Gesundheitssektor und Patienten.
Das Ergebnis: Die künftige Regulierung soll sich eng an MDR und IVDR orientieren, jedoch auch in einigen Punkten abweichen. So soll es etwa eine eigene Definition für Software als Medizinprodukt geben sowie Erleichterungen für die Zulassung von innovativen Technologien. Außerdem sieht die MHRA eine Übergangsfrist für bereits zertifizierte Produkte vor, die auch nach Gültigkeit der neuen Regelungen 2023 auf dem Markt bleiben dürfen.
Die UK-Regierung will die neue Medtech-Strategie auf Grundlage der Ergebnisse zeitnah veröffentlichen.
Neue Seminare im August
Zu guter Letzt möchte ich noch auf die neuen Seminare hinweisen, die wir aufgrund der hohen Nachfrage für August freigeschaltet haben. Und natürlich fehlt auch hier das Thema Sicherheit nicht auf der Liste.
Damit verabschiede ich mich für diese Woche. Nächste Woche bekommen Sie Ihre Nachrichten wieder wie gewohnt von Prof. Johner persönlich.
Mit herzlichen Grüßen
Anja Segschneider
|
